اگه به یک صفحه ای رسیدید که محتوای xml داخل اون قرار داره سریع از کنارش رد نشید

ما یه مبحثی داریم به اسم پارامتر دیسکاوری که روش های مختلفی برای پیدا کردن پارامتر های یه صفحه وجود داره !
توی سناریو بالا طبق مقاله هایی که خونده بودم میدونستم که کانتنت xml تایپ اسیپ پذیری کد مخرب جاوا اسکریپت(XSS) توش اجرا میشه

application/xml

یکی از روش های پارامتر دیسکاوری جمع کردن پارامتر از خود سورس همون صفحس پس اومدم و دونه به دونه پارامتر هارو توی ادرس یه مقدار رندوم بهش دادم یکی از پارامتر ها مقدارش عوض شد ☺️

device.prov.serverName

حالا کافی بود که یه پیلود xss بزارم ✅

/?device.prov.serverName = <noscript>alert(1)</noscript>

اتفاقی که اینجا افتاد این بود که نه تنها پیلودم اجرا نشد بلکه به یه خطای جدید خوردم :

xml parsed error !

یه جورایی منطقی بود چون کد جی اس توی اون کانتنت تایپ اجرا نمیشه. پس چی اجرا میشه ؟ افرین SVG

بعد کلی سرچ پیلود نهایی این بود :

<noscript xmln="https://www.w3.org/2000/noscript/" onload="alert(orign)"></noscript>

خیلی مهمه وقتی به اینجور صفحه ها توی ریکان رسیدید یه xss رو اسکیپ نکنید🫡

@Dagen_security

تارگتم از یه نوع authentication متفاوت استفاده میکرد و من مجبور شدم برم راجبش بخونم ☺️

در حال انجام گوگل دورک با سرچ انجنین های مختلف بودم که به یه لینکی رسیدم :

sub.target.net/_layouts/211/bessinus/appLogin.aspx/passReset

وقتی بازش کردم در نگاه اول فک کردم پای یک basic authentication ساده در میونه ولی وقتی به لینک نگاه میکنم خیلی شبیه به یکی از cms های مایکروسافته .
پس یه whatweb روش انداختم و فهمیدم که تارگتم داره Microsoft sharepoint استفاده میکنه .

یه کردنشیال ساده وارد کردم و توی برپ یه نگاهی بهش انداختم توی پکت یه مقدار عجیب و گنگ دیدم

Authentication : NTLM NDUWNIDNWIDNWIBDDDDDD=

پس رفتم تا یه ریسرچ ریزی راجبش بزنم .

NTLM چیه ؟

بعد از ریسرچ متوجه شدم که یه احراز هویته که وقتی ما کرندشیال رو میزنیم ما رو با اکتیو داریکتوری ویندوز احراز میکنه حالا هر NTLM یه دامین داخلی داره که مقدارش توی ولیو مشخصه(توی ربسپانس درخواست باید دیکود بشه با base64)
پس من وقتی مقدار test رو به عنوان یوزر نیم و یه پسورد بهش بدم میره و با دامین داخلی احرازش میکنه و تطابق میده


ولی یه راه دومی هم وجود داره

سرور مایکروسافتی که این پشته یه احراز لوکال مثل ویندوز خودمون داره درسته ؟
ینی مثل کامپیوتر خودمون شخصیه و نمیره با دامین احراز کنه .


پس چون نمیدونیم که اون پشت چخبره و یوزرنیم چیه یه یوزرنیم رو ثابت میگیریم —> administrator
و پسورد رو بروت فرس میکنیم . ولی به این راحتی نبود و یه پسورد خیلی سخت داشت 😕

Username : administrator
password : BRUTE

دیگه داشتم بیخیالش میشدم ولی توی همین حین ریسرچ میکردم
اگه اون راه دومی رو برم ممکنه یه پسورد اسون تر برای لوکال وجود داشته باشه ؟


پس اومدم به طبق دانشی که از قبل داشتم یه تریک ریز زدم :

username : .\administrator
password : BRUTE 

ماموریت با موفقیت انجام شد و وارد پنل شدم پسورد چی بود ؟

username : .\administrator
password : P@ssw0rd ✅

یادتون باشه اگر شما پسوردی که با دامین احراز میشه رو بروت کنید شانستون برای پیداکردن پسورد صحیح تقریبا صفره ولی اگر یوزر نیم رو به این صورت وارد کنید :

.\administrator

دیگه با دامین چک نمیشه و پسوردی که شما میزنی با لوکال احراز میشه که معمولا پسورد سادس.

امیدوارم سناریو رو درک کرده باشید و خیلی مهمه در مورد هر چیزی یه دانش کوچیکی داشته باشید و سرچ کنید تا به هدفتون برسید 🌷

@Dagen_security

یه open redirect داشتم ولی نه یه ریدارکت معمولی ❌


در حال چرخیدن توی قسمت های مختلف سایت بودم و ترافیک رو با برپم انالیز میکردم یه ادرسی توجه منو به خودش جلب کرد که درواقع ریدارکت شدن به دشبوردم بود .

main.target.com/?BaseUrl=https://panel.target.com&S=cb21338a61c9d2dbbe477930eb385c8b

وقتی به لینک نگاه میکنم این لینک داره من به سمت پنلم هدایت میکنه ایا با js داره منو ریدارکت میکنه یا http ?

وقتی برپ رو باز میکنم خبری از 302 نیست پس داره با js هندل میشه پس احتمال وجود xss هم هست
فایلای جاوااسکریپ رو دونه به دونه باز کردم و کلمه کلیدی BaseUrl رو سرچ کردم ورودی من توی window.Location مینشست ولی اسکیم javanoscript:// ریپلیس میشد . پس من xss نداشتم
ولی ورودی من مستقیما ریدارکت میشد ولی یه پارامتر دیگه هم میگرف به اسم S که من فعلا نمیدونم چیه 😕

اومدم و ادرسو به سایت خودم ریدارکت کردم

main.target.com/?BaseUrl=https://redirect.com&S=cb21338a61c9d2dbbe477930eb385c8b

هیچ اتفاقی نیوفتاد و با یه صفحه خالی رو به رو شدم!

اینجا فهمیدم یه چکی داره انجام میشه که درواقع بهش میگن checksum یا همون HMAC

سوال پیش میاد HMAC چیه ؟
یه پروتکشنه امنیتیه که مقدارش با یه الگوریتم ساخته میشه و اگر با اون مقداری که سرور انتظار داره یکی باشه منو ریدارکت میکنه
پس ما عملا نمیتونیم هاست رو تغیر بدیم چون مقدار HMAC نداریم !

HMAC چجوری ساخته میشد ؟
نا امید نشدم و رفتم سراغ فایلای جاوااسکریپ و بعد از گشتن تمامی سورس ها این لاین از کد جاوااسکریپت نظرمو جلب کرد :

return ($Sed==md5($BaseUrl));

باید متوجه شده باشید که برنامه نویس چه اشتباهی فجیهی رو مرتکب شده هش md5 به عنوان HMAC داره چک میشه 😐

پس به سادگی اومدم و سایت خودمو هش md5 کردم:

echo redirected.com | md5sum 

و به عنوان hmac به پارامتر S پاس دادم و منو ریدارکت درست کرد ✅ , و لینک نهایی این شد :

main.target.com/?BaseUrl=https://redirected.com&S=15d93c231627d89e8b6430988eb21228

درسته که برنامه نویس این کارو به ظاهر یک پروتکشن پیاده سازی کرده بود ولی این روش به تنهایی اصلا کافی و قوی نبود و به راحتی دور میخورد :)

@Dagen_security

DNS Wildcard Learning

اگر وب‌سایتی DNS خود را به‌صورت wildcard تنظیم کرده باشد، بهترین کار انجام name resolution است. ابزار Puredns این کار را برای ما انجام می‌دهد.
کاری که این ابزار انجام می‌دهد، حذف IPهای مربوط به wildcard است. هر ساب‌دامینی که با این IPها مچ شود، دور ریخته می‌شود.

اما مشکل اصلی کجاست؟

وب‌سایت‌ها و دامین‌های مختلف (با کانتکت‌های متفاوت) می‌توانند IP یکسان داشته باشند. ابزارهایی مثل Puredns این موارد را نادیده می‌گیرند (miss می‌کنند).

راه‌حل مشکل:

انجام HTTP filtration با ابزار httpx:

cat sub_domains.txt | httpx -flc <line filter>
با اجرای این دستور می‌توانیم فیلتر را روی محتوای صفحه اعمال کنیم. به این صورت، هر لاینی که در صفحات بیش از بقیه تکرار شده باشد (مثلاً پیام پیش‌فرض هاست)، شناسایی و حذف می‌شود و میس کمتری دارد .

@Dagen_security

وروردی من توی بک تیک بود چجوری تونستم به xss برسم ؟

یکی از باگ تایپای مورد علاقه هر هانتری xss هست. این اسیپ پذیری تست کیس های مخصوص به خودشو داره
مهاجم تلاش میکنه از طریق وردی های وب اپلیکشن مثل فرم ها , پارامتر ها و..
کد مخرب جاوا اسکریپ رو به هر نحوی به وبسایت تزریق کنه.

توی یه کیس خاص ورودی از من از پارامتر executeSearch گرفته میشد

https://target.com/?executeSearch=test

وقتی مقدار تست رو توی سورس کد سرچ کردم وروردی من دقیقا توی این کد و داخل بک تیک رفلکت شده بود .!

<noscript type="text/javanoscript">
let search = `test`;
</noscript>

وقتی چشمم به این تکه کد میخوره دو تا راه بیشتر ندارم یا باید با گذاشتن خود بک تیک بریک کنم و یا تگ اسکریپ رو ببندیدم . ولی اصلا جوابگو نبود و تارگت یه بک اسلش به تگ میداد و کلا بک تیک رو هم بر میداشت :)

?executeSearch=test</noscript>`

خروجی:

let search = test/noscript;

اما و اما ما یه مفهومی داریم به اسم —> literal template javanoscript

این مفهوم به ما میگه شما حق داری کد جاوا اسکریپت رو توی بک تیک مستقیما با این سینتکس اجرا کنی و خروجی بگیری .!
پس تنها کاری که لازم بود انجام بدم اینکه یه الرت بزنم و تاییدیه xss رو بگیرم 😎

https://target.com/?executeSearch=${alert(origin)}

با موفقیت الرت خورد و من به xss رسیدم .🫡

نکته ای که وجود داشت اینه که اگه شما دائما در حال خوندن و ریسرچ کردن نباشید و در کنار هانتتون مقاله خوندنو کنار بزارید همچین باگایی رو بیخیال میشید پس سعی کنید زنجیره دانش رو هیچ وقت قطع نکنید .🌷

@Dagen_security

چجوری html encoding رو بایپس کردم و xss زدم ؟

تارگت من یه بخش سرچ توی وبلاگ های وبسایت داشت و ورودی من توی سورس صفحه رفلکت میشد .

https://ads.target.com/hc-pages/search.html?search=salam

همونطور که توی صفحه میبینید ورودی من توی تگ <i> بود و فقط کافی بود تگی مثل <img> رو بتونم باز کنم تا به xss برسم .

ولی به این راحتی نیس تارگت هر تگی باز و بسته ای و هر دبل کد یا سینگل کدی رو به طور کامل html encode میکنه که توی تصویر مشخصه همین دلیل باعث میشه مرورگر کدو نفهمه و پارس نکنه !🤌

حالا یکی از روش های بایپس html encode اینه که شما بیای و پیلود خودتو به html entities کانورت کنی و بعد URL encode رو انجام بدی و بایپسش کنی و الرت بزنی که نمونشو توی چلنج های GYM xss داریم .

این روش برای من جوابگو نبود .!

گوشه ذهنم یه روش دیگه هم داشتم اینکه چه اتفاقی میوفته اگه من بیام و خود html encode شده تگ img رو بزارم و درخواست بزنم ؟

پیلود اینه :

%26lt%3bimg%26gt%3b

کاراکتر هایی مثل ; و & تبدیلشون میکنم به انکدشون تا url رو خراب نکنن . پیلود وقتی به سرور میرسه سرور چون انتظار همچین ورودی رو نداره کاراکتر ها دیکود میکنه و همچینین عمل html decode رو انجام میده .
وقتی سورس رو باز کردم یه تگ <img> بدون هیچ فیلتری توی صفحه بود و کافی بود تمام پیلودمو با یه الرت تمومش کنم :

%26lt%3bimg%20src=X%20onerror=alert(origin)%26gt%3b

ممکنه این روش همه جا کار نکنه ولی تست کردنش هیچ ضرری نداره 🫡
امیدوارم لذت برده باشید 🌷


@Dagen_security

اولین باگ احراز هویتمو (Authorization bypass) چجوری زدم ؟

داستان از این قراره که من با یک صفحه ثبت نام وبسایت رو به رو شدم .
توی مواجهه با هر صفحه لاگین تمام فایل های جاوا اسکریپت های اون صفحه چک میکنم .

اولین کاری که کردم برپ سوییت رو باز کردم یه یه ثبت نام معمولی کردم و تمام در خواست هایی که رد و بدل شد رو نگاه کردم .
وب اپ از من کاربر یک ایمیل و پسورد میگرفت. وقتی ریجستر کردم منو میبرد به صفحه ای که تایید ایمیلمو انجام بدم و به یه کد تایید میفرستاد و من با داشتن کد تایید صحیح لاگین مستقیما وارد پنلم میشدم یه توکن jwt دریافت میکردم .

تا اینجا روال عادی ثبت نام رو داریم . ولی چی تو ذهن من بود ؟🤔

من با خودم گفتم چی میشه اگه من به عنوان مهاجم یه ثبت نام ناقص انجام بدم یعنی بیام و یوزر و پس بزنم ولی تایید ایمیل نکنم ؟
ثبت نام ناقص انجام بدم ولی از اون طرف برم سمت فراموشی رمز عبور سایت و ایمیلی که باهاش ثبت نام ناقص کردم رو فراموشی رمز عبور بزنم 👍

این سناریو تو ذهنم بود ولی در عمل چه اتفاقی افتاد ؟
سرور smtp یه فراموشی رمز عبور برای ایمیلی که تایید نکردم داد😐
و تنها کاری که من میکردم این که پسورد جدید بزارم و با پسورد خودم وارد پنل بشم 😎

این اسیپ پذیری از عدم هماهنگی پروایدر ایمیل و وب سرور بود در واقع هیچ چکی انجام نمیشد که ایا ایمیل تایید شده یا نه
ایمپکتش میشه من میتونم تایید ایمیل خودمو دور بزنم !

امیداوارم لذت ببرده باشید حمایت فراموش نشه 🌷


@Dagen_security

اگه به رنج اپی سازمان رسیدی فقط پورت و سرویس http رو چک نکن !

یکی از بهترین روش ها برای دامین دیسکاوری بدست اوردن ptr record های اون سازمانه


سوال پیش میاد ptr record چیه ؟

به ما dns معکوس ptr recorde میگیم ولی ما نمیتونیم همیشه داشته باشیمش چون باید این قابلیت از طرف صادر کننده اکتیو و فعال باشه .

فرض بگیرین ما یک رنج اپی داریم !

1.1.1.1/24

چجوری باید از این اپی PTR RECORDE بگیریم ؟

با یه کامند ساده که فقط کافیه توی ترمینالت پیست کنی !

echo 1.1.1.1/24 | mapcidr -silent | dnsx -resp-only -ptr

این کامند رنج اپی رو به عنوان ورودی به mapcidr میده که کارش پخش کردن اپی هاست و بعد این اپی ها توسط dnsx ریزالو میشن و ptr رکود ها توی خروجی نمایش داده میشه ✅


پس خیلی تجربی بهت بگم همیشه ptr رو چک کن چون یه ساب و کانتنت متفاوت گیرت میاد 👀🔥

@Dagen_security

قوانین حاکم بر مرورگر چیه ؟ اهمیت دونستنش چیه ؟

مرورگر صرفا یه ابزار نمایش نیست مرورگر ها یه سیستم پیچیده دارن که دقیقا بین کلاینت و وب هستند .
در داخل این سیستم مفهومی به نام Browser Security Machines وجود داره این مفهوم قوانین و مکانیزم های امنیتی مرورگر رو تعین میکنه و مشخص میکنه که چرا نباید آرجین های مختلف به دیتای همدیگر دسترسی داشته باشند و یا بخوانند .

اولین قدم : درک orgin :

برای اینکه مرورگر بدونه چه کسی به چه داده‌ای دسترسی داره، باید هویت را بشناسه این هویت با مفهومی به نام Origin (مبدأ) تعریف می‌شه

هر آرجین معتبر دقیقاً از سه جزء ساخته شده :

scheme + host + port

هر تعریف اضافه ای شامل ارجین نمیشه .!

این دو آدرس، از نظر مرورگر دو تا Origin کاملاً متفاوتند چون بخش host یکسان نیست!:

https://www.google.com:443
https://admin.google.com:443

ولی توی این مثال این دو آدرس متعلق به یک Origin هستن، چون scheme، host و port یکسانه:

https://www.facebook.com/search
https://www.facebook.com/profile

نکته : تعریف سایت با با آرجین یکی نیست !

نکته 2 : صفحات مختلف میتوانن آرجین های مختلف داشته باشند یا نداشته باشند . بستگی به اون سه جزء اصلی داره .

———————————————————————————————-

حالا که این مفهموم رو خوب متوجه شدیم میریم سراغ یه قانون مهم برای مرورگر ها : تفکیک مبدا

تعریف same origin policy (SOP)

قانونیه که مرورگر ها اجرا میکنند صفحات وب حق دارند که فقط با منابعی تعامل کنند که از یک ارجین باشند
مثال : اسکریپ هایی که داخل وب سایت وجود دارندحق ندارن به کانتنت اشیایی که از ارجین متفاوت هستند دسترسی داشته باشند

چرا same origin policy مهمه ؟

جلوگیری از سرقت داده‌ها: بدون SOP هر اسکریپتی که در مرورگر اجرا شود (مثلاً از google.com) می‌تونه به DOM، کوکی‌ها، localStorage سایت‌ها دسترسی پیدا کنه. یعنی اطلاعات حساسِ کاربر مثل توکن‌ها به‌راحتی دزدیده می‌شن .

وظیفه اصلی SOP چیه ؟!

مرورگر ها درخواست به http به سایت های دیگر میفرستن ولی SOP به جاوا اسکریپت اجازه دسترسی به پاسخ رو نمیده مگه اینکه CORS فعال باشه .
تگ هایی مثل : <noscript> <iframe> <img> میتونن بدون cors درخواست بفرستند و باز هم خواندن پاسخ توسط same origin policy بلاک میشه .

مثال : با قرار دادن این تگ داخل وبسایت :

<img src="https://evil.com/track.png">

یه درخواست GET به evil.com میره و تصویر توی سایت لود میشه اما جاوا اسکریپت نمیتونه به پاسخ دسترسی داشته باشه و یا با گذاشتن یه <iframe> داخل سایت خودمون میتونیم ببینمیش ولی جاوا اسکریپت نمیتونه محتوای داخل اون رو بخونه و یا تغیر بده .

پس SOP مثل ستون امنیتی مرورگره که محدودیت رو بر اساس داده دریافتی میده نه ارسال درخواست و متوجه شدین که چرا برنامه نویس ها از سیاست امنیتی cors استفاده میکنن و چرا اهمیت داره که اسکریپت ها از ارجین های تعین شده توسط cors داده ها رو میخونن و حمله csrf چجوری میتونه از از SOP سو استفاده بکنه و دورش بزنه .


امیدوارم به درک نسبی راجب این قانون مهم برای مرورگر ها رسیده باشید . مثل همیشه حمایت فراموش نشه 🌷


@Dagen_security

چجوری تونستم با نقطه چینی چکر فانکشن تارگتمو دور بزنم ؟

بعد از تکمیل ریکان سنگین رو تارگت به همچین ادرسی رسیدم :

https://target.com?redirect_url = https://target.com/test

هر مهاجمی در مواجه با همچین ادرسی باید ذهنش جرقه اسیپ پذیری open redirect رو بزنه .
پس من زوم کردم روی پارامتر و توی اولین تستم سعی کردم کاراکتر هایی مثل @ %0a . رو تست بزنم ولی تارگت فیکس فیکس بود و به من 403 میداد من فقط حق تغیر دادن قسمت path ادرس رو داشتم که کمکی بهم نکرد !

تست هایی که کردم :

?redirect_url=https://target.com.google.com
?redirect_url=https://target.com\@google.com
?redirect_url=https://target.computer
?redirect_url=https://target.com&redirect_url=google.com
?redirect_url[]=https://target.com&redirect_url=google.com

رجکس خوبی داشت و هیچ جوره با تستام دور نمیخورد ولی ذهنم دنبال یه ایده جدید برای دور زدنش بود .

پس به ریپازیتوری معروف payload all the things رفتم و این پیلود رو تست کردم

google。com

و بوم ! چکر فانکشن دور خود و من ریدارکت شدم با این هاست به google.com ریدارکت شدم !

از اونجایی که ادمی نیستم که فقط چهار تست کیس رو اجرا کنم و ببینم خروجی میده یا نه رفتم سراغ ریشه اسیپ پذیری !

سوال پیش میاد چرا با نقطه چینی این چکر فانکشن دور میخوره اصلا استدلال این باگ چیه ؟
ببینید فریم ورک ها و برنامه ها میگن اگر کاربر کاراکتری رو اشتباه وارد کرد و این اشتباه پیش بینی شده بود خودمون به صورت اتوماتیک این تبدیل رو براش انجام میدیم

پس توی سناریو ما , مرورگر میگه اگر تو نقطه چینی گذاشتی(。) من خودم این نقطه رو به نقطه معمولی (.) تبدیل میکنم و هیچ خطایی نشون نمیدم .

آیا این تبدیل مرورگر نا امنه ؟
به هیچ عنوان این تبدیل نا امن نیست .
در واقع این باگ زمانی اتفاق میوفته که چکر فانکشنی که توی سرور وجود دراه توی چکی که انجام میده این ادرس رو معتبر نمیدونه و براش نا آشناس ولی مرورگر فکر میکنه این کاراکتر به اشتباه وارد شده و ما رو به گوگل ریدارکت میکنه
پس عدم هماهنگی بین چکر فانکشن و مرورگره .

از دید RFC این ادرس معتبره :

google。com

ولی چکر فانکشن سمت سرور چون از RFC پیروری نمیکنه عدم نا همانگی پیش میاد و اسیپ پذیری به وجود میاد .👍

این عدم نا هماهنگی بین دو تا پروداکت امن رو توی همه اسیب پذیری ها رایجه و مشکلیه که به راحتی پچ نمیشه امیدوارم این مفهوم خیلی مهم رو درک کرده باشید و دنبال ریشه مکانیزم های امنیتی باشید 🌷

@Dagen_security

دوستان، تمام آسیب‌پذیری‌ها و سناریوهایی که اینجا می‌ذارم، روی تارگت واقعی تست شدن. هیچ روش منسوخ یا تکراری اینجا جایی نداره. همیشه سعی می‌کنیم بهترین و خلاقانه‌ترین محتوا رو برای اعضای چنل آماده کنیم . 🙌

@Dagen_security

یکی از خفن‌ترین ابزارها که می‌تونین باهاش اپن ریدارکته‌های زیادی بزنید، این ابزاره .

https://github.com/0xacb/recollapse

کارش اینه که مجموعه‌ای از روش‌های عمومی دور زدن فیلتر ها رو اتومات می‌کنه .
پیلود های مختلفی که می‌سازه باعث گیج شدن وف و چکر فانکشن میشه .

اگه به دنبال یه ابزار برای دور زدن فیلتر ها و شکار اپن ریدارکتی دقیقا همون چیزیه که باید توی تست کیسات داشته باشی 🫡

@Dagen_security

چجوری تونستم تاییدیه SQL injection رو بگیرم و وف بایپس کنم ؟ ✅

تارگتم یه آنلاین شاپ بود و از Rest api استفاده میکرد و اندپویت های مختلفی رو برای انجام هر کاری کال میکرد که یکی از این اندپویت ها این بود :

https://api.target.com/bridge/v1/categories/

اولین کاری که میکنم این اندپوینت رو از قسمت مسیر توی DOM سرچ میکنم تا بهم سرنخ بده.
سه تا پارامتر با جاوا اسکریپت ساخته شده بود که یکیش توجه منو به خودش جلب کرد
این پارامتر :

Filters

از طریق این پارامتر می‌تونستی فیلتر هایی که روی محصول اعمال کنی و بهت خروجی میداد

ولی چرا توجه منو به خودش جلب کرد ؟
کلمه فیلتر می‌تونه برای من جذاب باشه و توی ذهن من اینه که این دیتایی که داره به صورت فیلتر شده توی ریسپانس میاد دقیقا از کجا میاد ؟ آیا ممکنه از دیتابیس بیاد ؟

بیابیم و کمی دقیق تر شیم جاوا اسکریپت فقط و فقط فیلتر رو با ورودی json قبول میکرد و یه الگوی مشخصی برای فیلتر کردن داشت برای مثال به این صورت :

bridge/v1/categories?Filters={"color":"blue","city":"newyork","isActive":"True"}

و اگر حالت json رو خراب میکردی بهت این ارور رو بر می‌گردوند :

500 internal server error

خب ما همچنان رو فرضی که داریم متمرکزیم دقیقا اینجا همون جاییه که ذهن یه هانتر باید آلرت بزنه که اینجا یه خبرایی هست و بوی SQL میاد چون همه این رفتار های وبسایت داره با همه تلفیق میشه 🫡

پس توی این پارامتر تزریق رو به صورت تایم بیس انجام دادم و به یه پارامتر دیگه به ساختار اضافه کردم :

{"Sqltest":"sleep(5)"}

ولی به این سادگی نبود و وف آکامایی جلوی منو گرفت 🤜

اگه با SQL کار کرده باشید باید اینو بدونید که ما توی sql میتونیم و حق داریم از پرانتز های تو در تو استفاده کنیم و در عین حال پیلود کاملا صحیح اجرا میشه پس اینجوری تونستم وف دور بزنم :

?Filters={"Sqltest":"sleep(((15))))"}

و تمام ! وف کنار رفت .این پیلود باعث شد تارگت ۱۵ ثانیه به کما بره و تاییدیه time base sqli رو بگیرم و کافی بود برای هر پیلودی که در ادامه بخوام جدول بکشم بیرون از همین تریک ساده استفاده کنم 😎

امیدوارم باگای قشنگی بزنید و قبل از هر تستی تحلیل انجام بدید و از دانشتون استفاده کنید 🌷

@Dagen_security
@Boost

روزی که این رایتاپ رو با پیاده سازی هایی که نویسنده میکنه متوجه بشید واقعا هکرید :)

@Dagen_security

میخواستم توی اکانتم لاگین کنم به یه نکته ای جالبی رسیدم که گفتم باهاتون شیر کنم !

شما میتونین با استفاده از کلابریتر برپ سوییت توی هر سایتی لاگین کنید فقط کافیه توی فیلد ایمیل یوزر و ادرس کلابریتر خودتو بزاری و کد تایید توی پنلت لاگ بشه و ازش استفاده کنید .

user@YOUR_COLABRATOR

این ویژگی خیلی کاربردی و سریعه مخصوصا برای تست نفوذ احراز هویت لازم نیست ایمیل خودمو چک کنیم و به راحتی قابل دسترسه ✅

@Dagen_security